Données personnelles : plus de 3 millions d’euros d’amende pour CARREFOUR
Saisie de plusieurs plaintes à l’encontre du groupe CARREFOUR, la CNIL a effectué des contrôles entre mai et juillet 2019 auprès des sociétés CARREFOUR FRANCE (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire).[1]
À cette occasion, la CNIL a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels et ainsi sanctionné la société CARREFOUR FRANCE d’une amende de 2 250 000 euros et la société CARREFOUR BANQUE d’une amende de 800 000 euros.[2] Les manquements concernent principalement l’information délivrée aux personnes et le respect de leurs droits.
Des manquements à l’obligation d’informer les personnes (article 13 du RGPD)
L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées).
De plus, elle était incomplète en ce qui concerne la durée de conservation des données.
Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers).
Des manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés)
La CNIL a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.
Un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)
La société CARREFOUR FRANCE ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.
Par ailleurs, la CNIL a considéré qu’une durée de conservation de 4 ans des données clients après leur dernier achat était excessive. Selon elle, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers.
Un manquement à l’obligation de faciliter l’exercice des droits (article 12 du RGPD)
La société CARREFOUR FRANCE exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit.
La CNIL a considéré que cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits.
Par ailleurs, la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.
Un manquement au respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques)
Tout d’abord, la société CARREFOUR FRANCE n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles.
Ensuite, dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire.
Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles.
Un manquement à l’obligation de traiter les données de manière loyale (article 5 du RGPD)
Lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que CARREFOUR BANQUE communique à « Carrefour fidélité » son nom, son prénom et son adresse de courrier électronique. CARREFOUR BANQUE indiquait explicitement qu’aucune autre donnée n’était transmise. La CNIL a pourtant constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée.
L’assiette de l’amende de CARREFOUR FRANCE
La société CARREFOUR France a contesté l’assiette de l’amende retenue par la CNIL qui, dans sa délibération, enrichit son analyse de la notion d’ « entreprise ».
Pour rappel, l’article 83-5 du RGPD dispose que le montant des amendes prononcées pour les manquements retenus peut s’élever « dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent ».
Le considérant 150 du RGPD précise que « lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. »
Enfin, les lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement 2016/679 précisent que « pour infliger des amendes effectives, proportionnées et dissuasives, les autorités de contrôle s’en remettront à la définition de la notion d’entreprise fournie par la CJUE aux fins de l’application des articles 101 et 102 du traité FUE, à savoir que la notion d’entreprise doit s’entendre comme une unité économique pouvant être formée par la société mère et toutes les filiales concernées. Conformément au droit et à la jurisprudence de l’Union, il y a lieu d’entendre par entreprise l’unité économique engagée dans des activités commerciales ou économiques, quelle que soit la personne morale impliquée (considérant 150). »
Or, la CNIL a constaté que l’organisation juridique du groupe CARREFOUR, et notamment de la société CARREFOUR FRANCE et de ses filiales, rendrait de facto sans effet toute amende qui serait prononcée sur le seul chiffre d’affaires de la société CARREFOUR FRANCE.[3]
Elle a donc décidé, pour apprécier la notion d’entreprise conformément aux articles 101 et 102 du TFUE, de prendre en compte le chiffre d’affaires réalisé par la société CARREFOUR FRANCE et par les filiales qu’elle détient et qui ont bénéficié des traitements.[4] Elle a donc retenu que le chiffre d’affaires de l’entreprise, au sens d’unité économique, servant de base au calcul de l’assiette de l’amende s’élevait à 14,9 milliards d’euros en 2019.
[1] https://www.cnil.fr/fr/sanctions-2250000-euros-et-800000-euros-pour-carrefour-france-carrefour-banque
[2] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042563756 et https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042564657
[3] La société CARREFOUR FRANCE a réalisé, en 2019, un chiffre d’affaires d’environ 14 millions d’euros et un résultat net déficitaire de 1,6 milliards d’euros. Ces chiffres étaient du même ordre en 2018 (chiffre d’affaires d’environ 25 millions d’euros et résultat net déficitaire de 1,4 milliards d’euros). CARREFOUR FRANCE appartient pourtant à un groupe dont l’activité économique est d’un ordre de grandeur totalement différent, présentant un chiffre d’affaires d’environ 80 milliards d’euros (environ 40 milliards d’euros en France) pour un résultat net ajusté, part du groupe, bénéficiaire d’environ 900 millions d’euros en 2019.
[4] Concrètement, pour la CNIL, les sociétés CARREFOUR HYPERMARCHÉS et CARREFOUR PROXIMITÉ FRANCE profitent du programme de mutualisation des données. Le service Marketing France de la société CARREFOUR FRANCE traite en effet les données mutualisées des clients de ces sociétés (nom, prénom, adresse physique et électronique, numéro de téléphone, historique d’achat) afin de leur adresser des publicités personnalisées pour les produits vendus dans ces enseignes. Pour la CNIL, ces sociétés participent à la collecte des données à caractère personnel puisque l’adhésion au programme fidélité est possible directement en magasin au travers de formulaires papier.